Giriş
Zararlı yazılımlar her geçen gün daha sofistike hale gelirken, yeni bir tehdit olarak Amatera adlı bilgi çalıcı yazılımın ortaya çıktığı bildirilmektedir. Bu saldırı, sahte CAPTCHA sistemleri ile Microsoft’un App-V uygulama sanallaştırma betiklerini birleştirerek kullanıcıları hedef alıyor.
Saldırı Nasıl Çalışıyor?
Söz konusu saldırıda, saldırganlar kullanıcıları Windows Çalıştır penceresinde kötü niyetli bir komut yapıştırıp çalıştırmaları için kandıran sahte CAPTCHA doğrudan PowerShell’i başlatmak yerine, SyncAppvPublishingServer.vbs adlı imzalı bir Visual Basic betiği kullanarak bir başlatma yolunu kontrol etmektedir. Bu method, geleneksel ClickFix saldırılarına göre daha gizli bir yaklaşım sunmaktadır.
- App-V: Microsoft’un uygulama sanallaştırma çözümü, sadece Windows 10 ve 11’in Enterprise ve Education sürümlerinde bulunmaktadır.
- SyncAppvPublishingServer.vbs: Sahte bir CAPTCHA ile birleştirilen bu betik, kullanıcılardan dış bir sunucudan bellek içinde yükleyici almak için wscript.exe’yi kullanmalarını sağlar.
- CVE Kodları: Mevcut verilerle ilişkilendirilen herhangi bir CVE kodu hakkında bilgi verilmemiştir, ancak saldırının incelenmesi için dikkatli analiz gerekmektedir.
Etkilenen Sistemler
Amatera saldırısı, esas olarak kurumsal yönetim altında olan sistemleri hedef almaktadır. App-V’nin etkin olmadığı veya mevcut olmadığı sistemlerde komut çalışmaz; bu da saldırıların büyük ölçüde işletmelerde yoğunlaştığını göstermektedir.
- Etkilenen sürümler: Windows 10 ve 11 Enterprise ve Education sürümleri
- Hedef kitle: Kurumsal kullanıcılar ve uygulama sanallaştırma araçları kullanan işletmeler
Çözüm ve Korunma
Bu tür saldırılara karşı korunmanın en etkili yolu, sistem yazılımlarını güncel tutmaktır. Kullanıcıların ve sistem yöneticilerinin dikkat etmeleri gereken bazı noktalar şunlardır:
- Güncellemeleri uygulayın: Tüm yazılımları ve güvenlik yamalarını düzenli olarak kontrol edin ve güncelleyin.
- Güvenlik duvarını kullanın: Bilgisayarınıza gelen ve giden tüm trafiği izleyin.
- Port kapama: Gereksiz portları kapatın ve yalnızca ihtiyaç duyulan servislere izin verin.
Sonuç
Kullanıcıların, dikkatli olmaları ve sahte CAPTCHA’lara veya yasadışı iznini istedikleri komutlara karşı tetikte kalmaları gerekmektedir. Tüm kullanıcıların sistemlerini düzenli olarak kontrol etmesi, kötü niyetli etkinlikleri engellemek için kritik öneme sahiptir. Uygulama sanallaştırma gibi güvenilir araçların kötüye kullanılmasına karşı daima dikkatli olunmalıdır.
